Privacyreglement Medewerkers HZ

Privacyreglement Medewerkers HZ

Verwerking en bescherming persoonsgegevens medewerkers HZ University of Applied Sciences Rev. 280619.

HZ University of Applied Sciences Functionaris Gegevensbescherming Postbus 364

4382 NW Vlissingen

Inhoudsopgave

PARAGRAAF 1 BEGRIPSBEPALINGEN ... 3

Artikel 1 Begripsbepalingen ... 3

PARAGRAAF 2 REIKWIJDTE EN DOELSTELLING REGLEMENT ... 4

Artikel 2 Reikwijdte ... 4

Artikel 3 Doelstelling reglement ... 4

Artikel 4 Doel van de gegevensverwerking ... 4

Artikel 5 Grondslag verwerking... 5

Artikel 6 Aanmeldingsplicht ... 5

PARAGRAAF 3 BETROKKENEN: VAN WIE WORDEN PERSOONSGEGEVENS VERWERKT ... 5

Artikel 7 Categorieën van personen ... 5

PARAGRAAF 4 SOORTEN GEGEVENS: WELKE PERSOONSGEGEVENS WORDEN VERWERKT ... 5

Artikel 8 Soorten gegevens ... 5

Artikel 9 Bijzondere persoonsgegevens ... 6

Artikel 10 De wijze waarop persoonsgegevens worden verkregen ... 7

PARAGRAAF 5 VERSTREKKEN VAN GEGEVENS: AAN WIE WORDEN PERSOONSGEGEVENS VERSTREKT 7 Artikel 11 Verstrekken van persoonsgegevens ... 7

PARAGRAAF 6 RECHTEN BETROKKENE ... 8

Artikel 12 Rechten betrokkene: inzage, verzoek tot correctie of verwijdering, klachten ... 8

PARAGRAAF 7 TOEGANG TOT BESTANDEN, BEHEER EN BEVEILIGING ... 9

Artikel 13 Rechtstreekse toegang tot de persoonsgegevens ... 9

Artikel 14 Verantwoordelijkheid ... 9

Artikel 15 Geheimhouding en beveiliging ... 9

Artikel 16 Bewaren, anonimiseren en vernietigen van gegevens ... 9

PARAGRAAF 8 MELDPLICHT DATALEKKEN ... 10

Artikel 17 Melding Autoriteit Persoonsgegevens ... 10

PARAGRAAF 9 SLOT- EN INVOERINGSBEPALINGEN ... 10

Artikel 18 Overgangs- en slotbepalingen ... 10

Artikel 19 Inwerkingtreding en citeertitel ... 10

Artikel 20 Inzage reglement ... 10

Privacyreglement verwerking en bescherming persoonsgegevens medewerkers HZ University of Applied Sciences

Dit reglement is, met inachtneming van de Europese General Data Protection Regulation (GDPR) en zoals opgenomen in de Nederlandse wetgeving onder de Algemene Verordening

Gegevensbescherming (AVG), vastgesteld door het College van Bestuur op 3 april 2018 en herzien in juli 2019.

PARAGRAAF 1 BEGRIPSBEPALINGEN Artikel 1 Begripsbepalingen

In dit reglement wordt verstaan onder:

a. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

b. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige ander vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

c. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;

d. Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, in casu het bevoegd gezag van HZ;

e. Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen;

f. Beheerder: de functionaris die in opdracht van de verantwoordelijke, in casu het bevoegd gezag van HZ University of Applied Sciences, zorgdraagt voor (deel van) verwerking van persoonsgegevens;

g. Systeembeheerder: degene die het technisch deel van de bestanden beheert;

h. Betrokkene: degene op wie een persoonsgegeven betrekking heeft;

i. Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;

j. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;

k. Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;

l. Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van

persoonsgegevens, voor zover die geheel of grotendeels afkomstig zijn uit gegevens die in een bestand zijn opgenomen, of die door verwerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen;

m. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

n. AP: Autoriteit Persoonsgegevens. Toezichthoudende autoriteit zoals bedoeld in artikel 51 van de Privcayverordening;

o. C.A.O.: Collectieve Arbeidsovereenkomst voor het Hoger Beroepsonderwijs

p. HZ: HZ University Of Applied Sciences, het bevoegd gezag van de hogeschool.

q. Instituut: de operationele eenheid binnen HZ, waarbinnen met name de kerncompetenties van HZ zijn georganiseerd en die het primaire proces uitvoert. Wordt indien van toepassing extern aangeduid als HZ University of Applied Sciences.

r. Ondersteunende dienst: de operationele eenheid binnen HZ, die de bedrijfsprocessen uitvoert die ondersteunend zijn ten behoeve van het primaire proces.

s. Bevoegd gezag: het bestuur van HZ c.q. het College van Bestuur (CvB) van HZ.

t. FG: Functionaris voor de Gegevensbescherming: de functionaris als bedoeld in Afdeling 4 art 37 e.v. Algemene Verordening Gegevensbescherming;

u. Datalek: verlies van persoonsgegevens aan derden die geen toegang tot die gegevens zouden mogen hebben;

v. (Privacy)Verordening/AVG: Algemene Verordening Gegevensbescherming (General Data Protection Regulation/Europese Privcayverordening).¹

PARAGRAAF 2 REIKWIJDTE EN DOELSTELLING REGLEMENT Artikel 2 Reikwijdte

1. Dit reglement is van toepassing op alle persoonsgegevens van betrokkenen, zoals vermeld in artikel 7, bij HZ, die door de verantwoordelijke of in diens opdracht worden verwerkt, voor zover de gegevens eenvoudig kunnen worden herleid tot individuele personen.

Artikel 3 Doelstelling reglement

1. de persoonlijke levenssfeer van ieder van wie persoonsgegevens worden verwerkt te beschermen tegen misbruik van die gegevens en tegen het verwerken van onjuiste gegevens;

2. te voorkomen dat persoonsgegevens worden verwerkt voor een ander doel dan het doel waarvoor ze verzameld zijn;

3. de rechten van de betrokkenen te waarborgen.

Artikel 4 Doel van de gegevensverwerking

a. Het kunnen beschikken over rechtmatig verkregen informatie ten behoeve van de bedrijfsvoering van het instituut, de ondersteunende dienst, onderscheidenlijk het uitvoering geven aan wettelijke taken;

b. Het adequaat kunnen voldoen aan de vraag gegevens te verstrekken aan personen of instanties met een publiekrechtelijke taak.

1 De Algemene Verordening Gegevensbescherming (VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot

intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming/AVG) krijgt rechtstreekse werking in de EU-lidstaten. De AVG is per 25 mei 2018 van toepassing. In dit reglement is rekening gehouden met de toepasselijke bepalingen uit de AVG.

Artikel 5 Grondslag verwerking

1. HZ University Of Applied Sciences verwerkt slechts persoonsgegevens Wanneer er tenminste sprake is van een van de wettelijke grondslagen zoals beschreven in artikel 6 van de AVG:

a. Toestemming van betrokkene;

b. Noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene;

c. Noodzakelijk om te voldoen aan een wettelijke verplichting die op verwerkingsverantwoordelijke rust;

d. Noodzakelijk om de vitale belangen van betrokkene of een ander natuurlijk persoon te beschermen;

e. Noodzakelijk voor de vervulling van een raak van algemeen belang of in het kader van uitoefening van openbaar gezag;

f. Noodzakelijk voor de behartiging van het gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde.

Artikel 6 Aanmeldingsplicht

1. Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is, wordt door de verantwoordelijke gemeld bij de Functionaris voor de Gegevensbescherming.

2. De Functionaris voor de Gegevensbescherming houdt een register bij van de verwerkingen.

3. Voortvloeiend uit hetgeen in de voorgaande leden gesteld is, rust op iedere beheerder en iedere medewerker die een nieuwe gegevensverwerking aanlegt, de plicht daarvan melding te maken bij de Functionaris voor de Gegevensbescherming, onder vermelding van het doel van de toepassing of dat bestand en de naam (namen) van de verwerker(s).

4. Betrokkenen kunnen bij de Functionaris voor de Gegevensbescherming informatie verkrijgen omtrent de aangemelde verwerkingen van persoonsgegevens.

PARAGRAAF 3 BETROKKENEN: VAN WIE WORDEN PERSOONSGEGEVENS VERWERKT Artikel 7 Categorieën van personen

Over de volgende categorieën van de bij of ten behoeve van HZ werkzame of werkzaam geweest zijnde personen kunnen gegevens worden verwerkt:

a. Personen in dienst van of (al dan niet tijdelijk) werkzaam t.b.v. de verantwoordelijke, waaronder ook uitzendkrachten, gedetacheerden, stagiaires, gastdocenten, sollicitanten en overige derden.

b. Oud-personeelsleden. Personen zoals bedoeld in sub a, die niet meer voor HZ werken.

PARAGRAAF 4 SOORTEN GEGEVENS: WELKE PERSOONSGEGEVENS WORDEN VERWERKT Artikel 8 Soorten gegevens

De volgende soorten van gegevens kunnen worden verwerkt:

a. NAW-gegevens, pasfoto, geboortedatum, evt. overlijdensdatum t.b.v. communicatie met de werknemer en t.b.v. formele documenten;

b. Personeelsnummer ter identificatie van de werknemer;

c. Nationaliteit en geboorteplaats;

d. Gegevens betreffende opleiding, kennis en vaardigheden, competenties en gedrag en opleidingsgegevens met betrekking tot het functioneren ten behoeve van het kunnen

organiseren van een personeelsbeoordeling en het kunnen uitvoeren van loopbaanbegeleiding van de werknemer;

e. Gegevens en correspondentie betreffende de aanstelling (duur, aard, inhoud, salarisgegevens, arbeidshistorie en diensttijden) t.b.v. de behandeling van personeelszaken;

f. Aan- en afwezigheidregistratie i.v.m. verlof, ziekte, e.d. t.b.v. het administreren van verlof en ziekteverzuim t.b.v. een andere wet. De aard van de ziekte wordt niet vastgelegd. Gegevens betreffende de gezondheid worden alleen verwerkt voor zover toegestaan op grond van artikel 9, lid 2, onder b, van de AVG;

g. Gegevens m.b.t. en arbeidsomstandigheden t.b.v. het belang van de betrokkenen voor wat betreft specifieke arbeidsomstandigheden. Gegevens betreffende de gezondheid worden alleen verwerkt voor zover toegestaan op grond van artikel 9, lid 2, onder b, van de AVG;

h. Specifieke gegevens, ook betreffende (voormalige) gezinsleden. Deze gegevens worden alleen opgenomen voor zover deze noodzakelijk zijn met het oog op een overeengekomen

arbeidsvoorwaarde, met name de CAO of voor contactgegevens bij noodgevallen;

i. Overige wettelijk verplichte gegevens t.b.v. de uitvoering of toepassing van de wet;

j. Documenten t.b.v. personeelsdossier t.b.v. het behandelen van personeelszaken;

k. Gegevens, verzameld via een camera die zichtbaar is of waarvan de aanwezigheid kenbaar is gemaakt;

l. Andere gegevens, verzameld via een verborgen camera, indien er sprake is van een vermoeden van een strafbaar feit of onrechtmatig handelen.

Artikel 9 Bijzondere persoonsgegevens

De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, Burgerservicenummer (BSN), alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

1. Het verbod om gegevens rond het lidmaatschap van een vakvereniging te verwerken is niet van toepassing op de verantwoordelijke wanneer die deze gegevens ten eigen behoeve verwerkt ter vergoeding van de contributie conform Bijlage IV/Regeling Vakbondscontributie van de geldende collectieve arbeidsovereenkomst voor het hoger beroepsonderwijs.

2. Het verbod om gegevens betreffende gezondheid te verwerken is niet van toepassing op de verantwoordelijke die deze gegevens ten eigen behoeve verwerkt ter afwikkeling van Wajong en arbeidsparticipatie registraties.

3. Het verbod om strafrechtelijke persoonsgegevens te verwerken is niet van toepassing op de verantwoordelijke die deze gegevens ten eigen behoeve verwerkt ter:

a. beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren of

b. bescherming van zijn belangen voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn.

4. Het verbod om persoonsgegevens betreffende iemands ras te verwerken is niet van toepassing indien de verwerking geschiedt:

a. met het oog op de identificatie van de betrokkenen en slechts voor zover dit voor dit doel onvermijdelijk is;

b. met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen teneinde feitelijke ongelijkheden op te heffen of te verminderen slechts indien:

i) dit voor dat doel noodzakelijk is:

ii) de gegevens slechts betrekking hebben op het geboorteland van de betrokkenen, van diens ouders of grootouders, dan wel op andere, bij wet vastgestelde criteria, op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een

minderheidsgroep als bedoeld in de aanhef van onderdeel b behoort, en iii) de betrokkene daartegen geen schriftelijk bezwaar heeft gemaakt.

Artikel 10 De wijze waarop persoonsgegevens worden verkregen

1. De gegevens genoemd in artikel 8 worden door betrokkene voor zover mogelijk bij de sollicitatie dan wel indiensttreding verstrekt, dan wel door de Dienst Personeel en Organisatie, de

salarisadministratie en de personeelsadministraties van de instituten en diensten dan wel door leidinggevende van betrokkene verzameld, in het bestand opgenomen, volstrekt geheim en actueel gehouden.

2. De gegevens, zoals bedoeld in artikel 8 sub k worden verkregen door het inzetten van een camera die zichtbaar is of waarvan de aanwezigheid kenbaar is gemaakt.

3. De gegevens zoals bedoeld in artikel 8, sub l, worden verkregen door het inzetten van een

verborgen camera, indien er sprake is van een vermoeden van strafbaar of onrechtmatig handelen door medewerkers, waarbij het proportionaliteits- en subsidiariteitsbeginsel in acht wordt

genomen.

PARAGRAAF 5 VERSTREKKEN VAN GEGEVENS: AAN WIE WORDEN PERSOONSGEGEVENS VERSTREKT

Artikel 11 Verstrekken van persoonsgegevens

1. Binnen de organisatie van de verantwoordelijke worden uit de bestanden persoonsgegevens verstrekt aan functionarissen voor zover noodzakelijk voor de uitvoering van hun taak, waaronder voor de behandeling van geschillen.

2. Buiten de gevallen waarin dat wordt vereist ingevolge een wettelijk voorschrift worden uit de bestanden persoonsgegevens aan derden verstrekt voor zover zulks noodzakelijk is met het oog op:

a. een voor de betrokkenen geldende arbeidsvoorwaarde;

b. de salarisadministratie;

c. de administratie betreffende aanspraken op uitkeringen in verband met de beëindiging van een dienstverband:

d. de administratie van de personeelsvereniging;

e. de opleiding;

f. de bedrijfshulpverlening (BHV);

g. de bedrijfsbeveiliging;

h. de overgang van de betrokkene naar of diens tijdelijke tewerkstelling bij een ander onderdeel van de groep waaraan de verantwoordelijke is verbonden;

i. de mogelijkheid tot het verlenen van ontslag;

j. het in handen van derden stellen van vorderingen:

k. het behandelen van geschillen;

l. het doen verrichten van controle door een accountant of de belastingdienst.

3. Voorts kan informatie door of namens de verantwoordelijke worden verstrekt aan overheids- en semi-overheidsorganen in het kader van de aan hen opgedragen uitvoering van wetten en regelingen en aan organisaties waarvan de activiteiten voortvloeien uit een wettelijke regeling.

Voorts kunnen gegevens zoals bedoeld in artikel 8 verstrekt worden aan opsporingsambtenaren indien de gegevens daartoe aanleiding geven. Indien de gegevens als bedoeld in artikel 8 sub k en l daartoe aanleiding geven kan HZ deze gegevens aan derden verstrekken voor nader onderzoek.

4. In aanvulling op het in lid 2 en 3 gestelde kunnen persoonsgegevens als in lid 2 en 3 nader gespecificeerd aan derden worden verstrekt, indien zulks in het belang van de personeelsleden wordt geacht. Daartoe zal eerst worden overgegaan nadat het voornemen daartoe op deugdelijke wijze aan betrokkenen of hun wettelijke vertegenwoordigers is bekend gemaakt en zij gedurende een redelijk termijn in de gelegenheid zijn geweest een verzoek in te dienen zodanige verstrekking van gegevens achterwege te laten.

5. Indien persoonsgegevens zodanig zijn geanonimiseerd, dat zij niet direct tot individuele personen herleidbaar zijn, kan de verantwoordelijke beslissen deze te verstrekken ten behoeve van

wetenschappelijk onderzoek of statistiek voor zover:

a. het onderzoek een algemeen belang dient;

b. de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is;

c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en

d. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

6. Indien medewerkers op eigen verzoek, met toestemming van hun leidinggevende, thuis werken dienen ze bereikbaar te zijn. Daartoe zijn bereikbaarheidsgegevens van medewerkers (e-mail adres en/of privételefoon naar keuze van de betreffende medewerker) beschikbaar.

7. Indien de gegevensverwerking aan een derde wordt uitbesteed, wordt met de verwerker een verwerkersovereenkomst gesloten op grond waarvan de verwerker de verplichtingen die

voortvloeien de AVG, o.a. met betrekking tot beveiliging en geheimhouding en de melding van een datalek aanvaardt ten aanzien van de verwerking van de persoonsgegevens.

PARAGRAAF 6 RECHTEN BETROKKENE

Artikel 12 Rechten betrokkene: inzage, verzoek tot correctie of verwijdering, klachten

1. Elke betrokkene heeft het recht inzage te verkrijgen en de herkomst te vernemen van de persoonsgegevens die omtrent hem/haar worden verwerkt.

2. Een verzoek om inzage dient te worden gedaan aan de verantwoordelijke, die binnen een week na ontvangst van dit verzoek hieraan voldoet. Dit verzoek kan gestuurd worden aan privacy@hz.nl.

3. Indien de betrokkene bij de verantwoordelijke aantoont dat bepaalde van hem/haar opgenomen gegevens onjuist c.q. onvolledig zijn, dan wel gezien het doel van de gegevensverwerking niet ter zake doen, dan wel strijdig zijn met dit reglement, draagt de beheerder binnen een maand, nadat betrokkene de onjuistheid c.q. onvolledigheid heeft aangetoond, zorg voor verbetering, aanvulling of verwijdering. In dat geval worden eventueel betaalde kosten terugbetaald.

4. Indien wordt getwijfeld aan de identiteit van de verzoeker, dan wordt de verzoeker gevraagd schriftelijk nadere gegevens inzake zijn identiteit te verstrekken of een geldig identiteitsbewijs te overleggen. Door dit verzoek wordt de termijn opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd.

5. De betrokkene kan klachten over de toepassing van het privacyreglement kenbaar maken bij de Functionaris voor de Gegevensbescherming via privacy@hz.nl.

PARAGRAAF 7 TOEGANG TOT BESTANDEN, BEHEER EN BEVEILIGING Artikel 13 Rechtstreekse toegang tot de persoonsgegevens

1. Toegang tot de persoonsgegevens personeel hebben:

- De verantwoordelijke;

- De beheerders;

- De door HZ aangewezen functionarissen, die gegevens nodig hebben voor uitvoering van de werkzaamheden in het kader van de uitoefening van hun functie;

- De systeembeheerders.

2. De systeembeheerder zal via een coderings- en wachtwoordbeveiliging in het systeem de verschillende functionarissen als bedoeld in lid 1 toegang geven tot bepaalde gedeelten van de persoonsgegevens of tot alle persoonsgegevens al naar gelang hun werkzaamheden dit vereisen.

De systeembeheerder is hiertoe gemandateerd door het College van Bestuur.

Artikel 14 Verantwoordelijkheid

Het bevoegd gezag van HZ is de verantwoordelijke van de persoonsgegevens. Het bevoegd gezag draagt zorg voor de naleving van het reglement alsmede voor de juistheid van de verzamelde gegevens.

Artikel 15 Geheimhouding en beveiliging

1. De verantwoordelijke draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens. Deze maatregelen garanderen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

2. De verantwoordelijke kan met documentatie aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de Verordening te voldoen.

3. Functionarissen die uit hoofde van hun functie kennis nemen van persoonsgegevens zijn

gehouden deze gegevens niet anders te gebruiken dan voor de uitoefening van hun functie nodig is en niet aan onbevoegden mede te delen.

4. Gelijke plicht rust op de beheerder, systeembeheerder en verwerker.

5. Indien noodzakelijk (conform richtlijnen van de Autoriteit Persoonsgegevens) wordt een Privacy Impact Assessment (PIA) uitgevoerd.

Artikel 16 Bewaren, anonimiseren en vernietigen van gegevens

1. De persoonsgegevens en financiële gegevens worden uit de bestanden verwijderd conform de wettelijk geldende termijn nadat het dienstverband of de werkzaamheden van de betrokkene ten behoeve van de verantwoordelijke zijn beëindigd, tenzij een langere termijn doelmatig wordt geacht.

2. Indien de bewaartermijn van tien jaar is verstreken worden de desbetreffende gegevens verwijderd en vernietigd, zulks binnen een termijn van een jaar.

3. Indien de desbetreffende gegevens zodanig zijn bewerkt, dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.

4. Persoonsgegevens van personen waarmee na een sollicitatieprocedure geen vorm van

dienstverband wordt aangegaan, worden uit het bestand verwijderd op een daartoe strekkend verzoek van de betrokkene, doch in ieder geval uiterlijk vier weken nadat de sollicitatieprocedure is beëindigd, tenzij de persoonsgegevens met toestemming van de betrokkene gedurende een jaar na beëindiging van de sollicitatieprocedure worden bewaard.

5. Persoonsgegevens van personen die een open sollicitatie hebben ingediend, worden na zes maanden uit het bestand verwijderd, tenzij de betrokkene zelf om verlenging van deze bewaartermijn verzoekt.

6. Persoonsgegevens van camerabeelden zoals bedoeld in artikel 8 worden niet langer bewaard dan noodzakelijk voor het doel waarvoor ze verzameld zijn. De gegevens worden vernietigd binnen 14 dagen nadat de opnamen zijn gemaakt, dan wel na afhandeling van de geconstateerde incidenten.

Indien de gegevens met betrekking tot een bepaald incident zijn overgedragen aan een

opsporingsfunctionaris kan een kopie van deze gegevens ten behoeve van intern gebruik bewaard worden gedurende een termijn van maximaal 6 maanden voor zover er een vermoeden is van kans op herhaling van het incident.

PARAGRAAF 8 MELDPLICHT DATALEKKEN

Artikel 17 Melding Autoriteit Persoonsgegevens

1. HZ doet onverwijld melding bij de Autoriteit Persoonsgegevens in geval er sprake is van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen danwel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, zijnde een datalek, waarbij persoonsgegevens van gevoelige aard zijn gelekt ofwel er een aanzienlijke kans is op nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens danwel

onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet kan worden uitgesloten.

2. HZ doet melding van een datalek aan de betrokkene(n) wiens persoonsgegevens zijn prijs gegeven, wanneer het datalek ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de

betrokkene(n).

3. Persoonsgegevens van gevoelige aard zijn bijzondere persoonsgegevens, gegevens over financiële of economische situatie van betrokkene, gegevens die kunnen leiden tot stigmatisering of

uitsluiting van betrokkene, gebruikersnamen, wachtwoorden en andere inloggegevens en gegevens die kunnen worden misbruikt voor (identiteits-)fraude.

4. Melding van een datalek geschiedt niet later dan 72 uur na de ontdekking daarvan.

PARAGRAAF 9 SLOT- EN INVOERINGSBEPALINGEN Artikel 18 Overgangs- en slotbepalingen

1. Onverminderd eventuele wettelijke bepalingen is dit reglement van kracht gedurende de gehele looptijd van de verwerking van de persoonsgegevens.

2. In geval van overdracht of overgang van de bestanden naar een andere verantwoordelijke dient de betrokkene van dit feit in kennis te worden gesteld, opdat tegen overdracht of overgang van op hun persoon betrekking hebbende gegevens bezwaar kan worden gemaakt.

Artikel 19 Inwerkingtreding en citeertitel

Dit reglement is vastgesteld door het College van Bestuur op 3 april 2018 en herzien in juli 2019. Dit reglement kan aangehaald worden als Privacyreglement Medewerkers HZ.

Artikel 20 Inzage reglement

1. De verantwoordelijke zal door middel van een algemene kennisgeving het bestaan van dit reglement vermelden.

2. Dit reglement ligt ter inzage voor ieder, van wie persoonsgegevens verwerkt zouden kunnen worden. Het reglement is eveneens te raadplegen via de website van HZ.